6
Falsche Zeitserver Strategie
Moin zusammen,
ich fuhr mit folgendem Aufbau ganz gut, bis der NTP auf dem Linux Server Mist gebaut hat.
Externer Internet NTP Server -> Linux Firewall mit NTP Server -> Linux Clients
Linux Firewall mit NTP Server -> VM DC1
Linux Firewall mit NTP Server -> VM DC2
Die VMs sind auf zwei Hyper-V Hosts gehostet auf dem die Zeitsynchronisierungs-Integrationsdienste für alle VMs deaktiviert sind. Die DCs holen es sich also direkt vom Linux Server, der Rest der Windows Welt (auch die Hyper-Vs) dann von den DCs.
Der "Mist" passierte nach einem Stromausfall, als alles wieder hoch fuhr. Der NTP Server der Linux Firewall hing nach dem Starten und wir mussten diesen neu starten. Während des Hängens haben die zwei DCs unterschiedliche Uhrzeiten gezogen (1h versetzt) und es kam zum großen Kerberos problem.
Die Lösung scheint für mich einfach: DC2 soll es sich vom DC1 holen und nur DC1 vom Linux Server. Ich will es ein bisschen optimieren und stehe vor folgender Entscheidung:
Wäre es OK, dass eine DC VM die Zeit direkt zieht und auf alle anderen und auch auf den Hyper-V unter ihr verteilt, oder sollte ich lieber den ersten Hyper-V ziehen lassen und per Zeitsynchronisierungsdienst des Hyper-V dann den DC füttern? Wie würdet ihr es gestalten?
Danke Euch and keep rockin
Der Mike
ich fuhr mit folgendem Aufbau ganz gut, bis der NTP auf dem Linux Server Mist gebaut hat.
Externer Internet NTP Server -> Linux Firewall mit NTP Server -> Linux Clients
Linux Firewall mit NTP Server -> VM DC1
Linux Firewall mit NTP Server -> VM DC2
Die VMs sind auf zwei Hyper-V Hosts gehostet auf dem die Zeitsynchronisierungs-Integrationsdienste für alle VMs deaktiviert sind. Die DCs holen es sich also direkt vom Linux Server, der Rest der Windows Welt (auch die Hyper-Vs) dann von den DCs.
Der "Mist" passierte nach einem Stromausfall, als alles wieder hoch fuhr. Der NTP Server der Linux Firewall hing nach dem Starten und wir mussten diesen neu starten. Während des Hängens haben die zwei DCs unterschiedliche Uhrzeiten gezogen (1h versetzt) und es kam zum großen Kerberos problem.
Die Lösung scheint für mich einfach: DC2 soll es sich vom DC1 holen und nur DC1 vom Linux Server. Ich will es ein bisschen optimieren und stehe vor folgender Entscheidung:
Wäre es OK, dass eine DC VM die Zeit direkt zieht und auf alle anderen und auch auf den Hyper-V unter ihr verteilt, oder sollte ich lieber den ersten Hyper-V ziehen lassen und per Zeitsynchronisierungsdienst des Hyper-V dann den DC füttern? Wie würdet ihr es gestalten?
Danke Euch and keep rockin
Der Mike
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 620734
Url: https://administrator.de/contentid/620734
Printed on: April 25, 2024 at 10:04 o'clock
6 Comments
Latest comment
Moin,
ich habe es bei uns so realisiert, dass sich ein DC die Zeit bei einem externen Zeitserver holt und ALLE anderen Geräte in ALLEN internen Netzen sich die Zeit dann bei eben diesem DC holen.
Somit betrifft eine fehlerhafte Uhrzeit nur das interne Netz und ich vermeide obiges Fehlerbild.
Gruß
Looser
ich habe es bei uns so realisiert, dass sich ein DC die Zeit bei einem externen Zeitserver holt und ALLE anderen Geräte in ALLEN internen Netzen sich die Zeit dann bei eben diesem DC holen.
Somit betrifft eine fehlerhafte Uhrzeit nur das interne Netz und ich vermeide obiges Fehlerbild.
Gruß
Looser
Also würdest du den Hyper-V, der den DC hostet, auch vom DC abholen lassen?
Ja. Ich habe aber mehrere Hosts, und einen kleinen DC direkt "auf Blech". Der macht das.
Hi,
@NordicMike
Es ist sogar Best Practice von Microsoft, in einer Gesamtstruktur nur genau einen DC mit einer externen Zeitquelle zu versehen: Den PDC-Emulator der Stammdomäne der Gesamtstruktur.
Wenn das AD eine falsche Zeit hat, dann ist das "egal". Hauptsache alle im AD haben dieselbe (falsche) Zeit.
E.
@NordicMike
Es ist sogar Best Practice von Microsoft, in einer Gesamtstruktur nur genau einen DC mit einer externen Zeitquelle zu versehen: Den PDC-Emulator der Stammdomäne der Gesamtstruktur.
Wenn das AD eine falsche Zeit hat, dann ist das "egal". Hauptsache alle im AD haben dieselbe (falsche) Zeit.
E.
Das ist mir klar. Der Fokus meiner Frage richtete sich an den Hyper-V, der den DC hostet. Henne-Ei Frage, wer darf zuerst...
Soweit gelöst, danke euch...
Soweit gelöst, danke euch...
Das macht keinen Unterschied. Ich habe extra nicht "NTP" geschrieben, sondern "externe Zeitquelle". Der Hyper-V kann also für einen DC (ein AD) auch die externe Zeitquelle sein. Theoretisch. Denn - korrigiere mich bitte, wenn ich irren sollte - der Zeitabgleich vom Hyper-V erfolgt ja nur beim Start der VM und nicht immer wieder zur Laufzeit. Das wäre dann der feine Unterschied zum Abgleich über NTP.
Wenn also über Hyper-V, dann nur diesen einen DC abgleichen lassen. Den Hyper-V dann über NTP. Wobei ich selbst niemals den Weg über den Hypervisor gehen würde.
Ich schätze, nicht umsonst hat das z.B. VMware mal vor Jahren geändert. Wenn ich mich richtig erinnere, dann war es vor Jahren bei VMware standardmäßig aktiviert, dass eine neue VM beim Einschalten die Zeit vom ESX übernimmt. Seit einiger Zeit ist das nun standardmäßig für neue VM's deaktiviert.
Wenn also über Hyper-V, dann nur diesen einen DC abgleichen lassen. Den Hyper-V dann über NTP. Wobei ich selbst niemals den Weg über den Hypervisor gehen würde.
Ich schätze, nicht umsonst hat das z.B. VMware mal vor Jahren geändert. Wenn ich mich richtig erinnere, dann war es vor Jahren bei VMware standardmäßig aktiviert, dass eine neue VM beim Einschalten die Zeit vom ESX übernimmt. Seit einiger Zeit ist das nun standardmäßig für neue VM's deaktiviert.
1
